Compartilhar via


Encriptação na cloud da Microsoft

Os dados dos clientes nos serviços cloud empresariais da Microsoft estão protegidos por várias tecnologias e processos, incluindo várias formas de encriptação. (Os dados do cliente neste documento incluem Exchange Online conteúdo da caixa de correio, corpo do e-mail, entradas de calendário e o conteúdo dos anexos de e-mail e, se aplicável, Skype for Business conteúdo, conteúdo do site do SharePoint e os ficheiros armazenados em sites e ficheiros carregados para o OneDrive ou Skype for Business.) A Microsoft utiliza vários métodos de encriptação, protocolos e cifras nos seus produtos e serviços. A encriptação ajuda a fornecer um caminho seguro para os dados dos clientes percorrerem os nossos serviços cloud e ajudar a proteger a confidencialidade dos dados dos clientes armazenados nos nossos serviços cloud. A Microsoft utiliza alguns dos protocolos de encriptação mais fortes e seguros disponíveis para fornecer barreiras contra o acesso não autorizado aos dados dos clientes. A gestão adequada de chaves é também um elemento essencial das melhores práticas de encriptação e a Microsoft trabalha para garantir que todas as chaves de encriptação geridas pela Microsoft estão devidamente protegidas.

Os dados de cliente armazenados nos serviços cloud empresariais da Microsoft são protegidos através de uma ou mais formas de encriptação. (Vários auditores que não sejam da Microsoft validam independentemente a nossa política criptográfica e a respetiva imposição. Os relatórios dessas auditorias estão disponíveis no Portal de Confiança do Serviço.)

A Microsoft fornece tecnologias do lado do serviço que encriptam dados de clientes inativos e em trânsito. Por exemplo, para os dados inativos do cliente, o Microsoft Azure utiliza o BitLocker e o DM-Crypt e o Microsoft 365 utiliza o BitLocker, a Encriptação do Serviço de Armazenamento do Azure, o Gestor de Chaves Distribuídas (DKM) e a encriptação de serviço do Microsoft 365. Para dados de clientes em trânsito, O Azure, Office 365, Suporte Comercial da Microsoft, Microsoft Dynamics 365, Microsoft Power BI e Visual Studio Team Services utilizar protocolos de transporte seguros padrão da indústria, como o IPsec (Internet Protocol Security) e o Transport Layer Security (TLS), entre datacenters da Microsoft e entre dispositivos de utilizador e Datacenters da Microsoft.

Além do nível de linha de base de segurança criptográfica fornecido pela Microsoft, os nossos serviços cloud também incluem opções de criptografia que pode gerir. Por exemplo, pode ativar a encriptação para o tráfego entre as máquinas virtuais (VMs) do Azure e os respetivos utilizadores. Com as Redes Virtuais do Azure, pode utilizar o protocolo IPsec padrão da indústria para encriptar o tráfego entre o gateway de VPN empresarial e o Azure. Também pode encriptar o tráfego entre as VMs na sua rede virtual. Além disso, Criptografia de Mensagens do Microsoft Purview permite-lhe enviar e-mails encriptados a qualquer pessoa.

Seguindo a Standard de Segurança Operacional da Infraestrutura de Chaves Públicas, que é um componente da Política de Segurança da Microsoft, a Microsoft utiliza as capacidades criptográficas incluídas no sistema operativo Windows para certificados e mecanismos de autenticação. Estes mecanismos incluem a utilização de módulos criptográficos que cumprem a norma FIPS (Federal Information Processing Standards ) 140-2 do governo dos EUA. Pode procurar os números de certificado do National Institute of Standards and Technology (NIST) relevantes para a Microsoft através do Programa de Validação de Módulos Criptográficos (CMVP).

[NOTA] A Política de Segurança da Microsoft não é disponibilizada como uma transferência pública. Para obter informações sobre a política, contacte a Microsoft.

O FIPS 140-2 é um padrão concebido especificamente para validar módulos de produtos que implementam criptografia em vez dos produtos que os utilizam. Os módulos criptográficos implementados num serviço podem ser certificados como cumprindo os requisitos de força hash, gestão de chaves e similares. Os módulos criptográficos e cifras utilizados para proteger a confidencialidade, integridade ou disponibilidade de dados nos serviços cloud da Microsoft cumprem a norma FIPS 140-2.

A Microsoft certifica os módulos criptográficos subjacentes utilizados nos nossos serviços cloud com cada nova versão do sistema operativo Windows:

  • Azure e Azure U.S. Government
  • Dynamics 365 e Dynamics 365 U.S. Government
  • Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense

A encriptação de dados inativos do cliente é fornecida por várias tecnologias do lado do serviço, incluindo BitLocker, DKM, Encriptação do Serviço de Armazenamento do Azure e encriptação de serviço no Exchange, OneDrive e SharePoint. A encriptação do serviço Microsoft 365 inclui uma opção para utilizar chaves de encriptação geridas pelo cliente armazenadas no Azure Key Vault. Esta opção de chave gerida pelo cliente chama-se Chave de Cliente e está disponível para Exchange, SharePoint, OneDrive, ficheiros do Teams e PCs na Cloud Windows 365 (em pré-visualização pública).

Para os dados dos clientes em trânsito, todos os servidores Office 365 negoceiam sessões seguras com o TLS por predefinição com máquinas cliente para proteger os dados dos clientes. Por exemplo, Office 365 negoceia sessões seguras para Skype for Business, Outlook, Outlook na Web, clientes móveis e browsers.

(Por predefinição, todos os servidores destinados ao cliente negoceiam com o TLS 1.2.)

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.